赵希同:乘开源之势,打造企业级IT巨擘
温馨提示:这篇文章已超过1013天没有更新,请注意相关的内容是否还可用!
当今世界,开源技术正以不可阻挡之势,深刻影响着包括云计算、大数据、人工智能、物联网等新技术的发展。2021年,中国人民银行、中央网信办、工信部、银保监会、证监会联合印发《关于规范金融业开源技术应用与发展的意见》,为金融业合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展指明方向。中国银行高度关注开源技术的发展,将“开放创新,着眼未来,严控质量,确保安全”作为开源技术的使用标准,积极融入开源生态体系,与国内重要厂商建立广泛合作机制。结合全行企业级架构建设工程,构筑金融级技术平台,为中国银行实现数字化转型,夯实基础支撑、赋能业务发展、布局未来能力提供坚实保障。
中国银行信息科技部副总工程师 赵希同开放创新,兼容并包,建设企业级技术平台
中国银行自2020年启动企业级架构建设以来,坚持“科学引入,自我消化,吸收创新”的工作理念,以全局性思维,统筹推进分布式架构、单元化设计、信创工程等项目落地实施。设计“基础设施、基础平台、分布式开发运维、应用平台、应用服务”五层架构体系,其中前三层统称技术平台。在实践中,中国银行坚持平台化、服务化、标准化原则,以应用架构为核心,融合数据架构、技术架构、安全架构,全面发展以开源技术为主要支撑的分布式能力,支持应用解耦、基础设施上云、信息安全防控和数据洞察,并以清单化方式满足集团基础技术能力共享复用。
1.夯实底座,构筑坚如磐石的基础平台
与国内领先的云厂商合作,引入基于开源技术的云服务,构建“云计算+分布式+自主可控”的基础平台,建设“高性能、高并发、高可用、弹性扩展”的金融级超大规模分布式架构体系,目标支撑集团10亿级别客户访问、10万级TPS(笔/秒)业务交易处理能力。
2.开拓创新,打造自主研发的分布式开发运维平台
基于开源开发框架自主研发的大型企业级分布式基础技术平台——“鸿鹄”,提供限流、熔断、鉴权、单元自动流量分配等标准化服务治理机制,提升应用系统高可用性,支撑业务规模快速增长,累计申报专利102项,伴随多项技术突破;基于开源移动开发框架自主研发的企业级移动端技术平台——“瀚海”,提供鸿蒙、安卓、iOS、H5、小程序五大基础开发平台,具备基础开发套件、移动运营服务、移动运维服务、研发支持、标准规范5大能力,统一中行移动建设标准,提升移动应用建设效率,助力总分行快速实现移动数字化转型升级;基于多款开源产品打造的开发测试一体化平台——“扶摇”,支持产品端到端敏捷交付,有效支撑异构产品的持续集成和自动部署,流水线累计运行超过20万次,构建部署成功率显著提升,构建时间平均缩短50%,持续集成能力达到国内先进水平;基于某厂商开源大数据产品开发的大数据基础技术平台——“星汉”,提供“采、存、算、用、管”五大能力体系,构建统一数据底座、统一数据开发运营、统一数据治理;基于部分开源技术研发的智能运维平台——“九天”,构建“稳态+敏态”的双态运维支撑能力,集成统一云管、应用监控等模块,实现交易端到端全链路可直观观测、可关联分析、可智能预警。
3.赋能业务,建设支撑数字化转型的新应用
以企业级技术平台为基石,中行企业级架构建设正在深入推进,承载“客户信息、机构、员工、权限”等全局性、基础性能力的首个上线批次已蓄势待发,聚焦基础机制、创新发展和价值提升的产品工厂、账户服务等业务主题将于2022年投产落地。企业级技术平台将为业务能力的逐步提升、业务架构的稳步落地注入长效动能,提供有力支撑。
严控质量,确保安全,构建企业级开源治理体系
随着云平台、大数据、人工智能、区块链等新技术兴起,开源技术已融入开放、共享、协作,成为金融科技创新的新动力,同时开源技术的广泛使用也带来了新的挑战。中国银行秉承风险管控与技术应用结合的开源治理思路,结合企业级架构整体规划进展,根据可用性等级、交易系统特点和开源软件使用场景,按照“基础牢靠、渠道安全、业务稳健、辅助敏捷”的原则,制定分级分类使用策略,初步形成一整套开源治理体系,包括:确立企业级开源治理组织架构,制定开源软件管理规范,建立开源软件全生命周期管理机制,持续研发支撑开源技术使用的工具平台。
1.确立组织架构,强化顶层设计
由总行信息科技部牵头成立开源技术管理小组,成员包括科技体系所有部门,负责全流程开源治理体系的顶层设计,明确各部门职责,制定开源合规战略和开源治理原则,建立企业级开源软件全生命周期管理机制,制定分级分类管理策略,统筹制定开源风险管控措施和完善工具建设,规划人才队伍建设和开源生态建设。
2.制定开源软件管理规范,明确制度要求
针对开源软件的使用和安全漏洞两个关键点,制定“两个办法”。《开源软件管理办法》,明确开源软件引入、升级、使用、维护过程中的各机构担任的角色、职责、流程和要求。遵循“谁引入、谁跟踪、谁使用、谁负责”的原则,规范开源软件的全生命周期管理。《安全漏洞管理办法》,明确安全漏洞管理工作角色与职责分工,工作流程与工作要求,健全安全漏洞管理与处置机制,有效保障生产环境安全漏洞处置工作,加强安全漏洞信息安全管理。
3.建立开源软件全生命周期管理机制,增强流程管控能力
针对开源治理的复杂性,初步确定了分级分类的开源软件全生命周期管理流程,对开源软件引入、开发使用、上线运营、软件退出4个阶段进行治理,形成完整闭环管理。
软件引入阶段。按照“企业级需求分析、产品成熟度选型、入围质量评测”3个阶段审慎引入开源软件。企业级需求分析包括功能需求分析、已使用的同类软件情况、必要性分析等,产品成熟度包括许可证类型、包括社区活跃度、同业应用情况、外部支持能力、可靠性、可管理性、可扩展性、创新性等,质量评测包括兼容性测试、功能测试、安全测试和其它非功能测试。
开发使用阶段。针对开源软件建立“两个清单”,即开源软件准入清单和开源软件资产清单,前者规范开发人员的选择,解决开源软件“有哪些”的问题;后者摸清家底,解决开源软件“谁在用”的问题。在DEVOPS流水线中嵌入开源质量控制过程,以ISO9001质量管理体系为框架结合CMMI模型和实际需要建立数十个过程,覆盖软件开发、测试的各个方面。
上线运营阶段。面向态势感知、安全事件响应与处置、安全审计三个方面,构建具有整体性的智能化安全架构。其中态势感知包括:安全情报收集、分析、消费,漏洞发现、识别、告警,配置核查等;安全事件响应与处置包括:安全事件单生成、派发、分析,安全事件调查取证,威胁溯源,攻击链可视化,案件管理,剧本管理等;安全审计包括:安全审计计划管理,安全检查任务管理,设置安全检查基线,自动化检查等。
软件退出阶段。制定开源软件停止使用和退出机制,包括因信息安全风险、重大功能缺陷、性能不满足要求可能造成产品安全风险,更优软件选型替代等因素。
4.持续研发工具平台,提升技术支撑水平
开源软件的治理离不开工具的建设,中国银行在实践过程中坚持软件支撑流程体系落地,软件支撑安全运营能力,将管理规范落到工具平台,形成基于开源软件开发工具链和安全运营中心的“一链一中心”开源软件工具体系。
开源软件开发工具链,以开源信息管理系统为核心,联动开源软件代码扫描工具、开源制品库工具等产品,贯穿开发、测试、版本发布全过程。开源软件信息管理系统,支持开发人员引入、使用、维护开源软件审核流程,通过工具汇总和记录开源软件使用情况,提供基线定义、开源软件使用情况查询、开源清单查询等功能。开源软件代码扫描工具,提供开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警功能,降低由开源软件带来的安全风险。开源软件制品库,确保使用的同一个开源软件的同一个版本的源码来源相同,技术上实现了开源软件实体介质来源可控可溯,服务于开发项目工程构建,提高开发效率,防范未经授权的软件构建到应用系统中。
安全运营中心,可收集来自行业监管、商业情报服务、开源安全社区等内外部情报源的安全情报,为威胁分析、漏洞和配置权限管理、安全策略管理等提供安全情报消费服务;对开源软件进行漏洞和配置缺陷检测,实时展示漏洞处置过程的进展情况;建立和维护开源软件的配置核查基线,实现对开源软件的自动化安全配置检测,查看核查发现的配置风险项,跟踪风险处置情况;抽取数据分析所需的日志数据和网络流量数据,实现通过多种分析技术发现潜在的开源软件威胁事件并预警。
锻造队伍,融入生态,着眼未来可持续发展
1.加快人才储备,打造“三支队伍”
开源技术对人员能力提出了更高要求,开源软件相比商业闭源软件技术支持更加分散,缺乏专业的运维支持,造成开源软件出现故障时问题定位困难、解决缓慢,开源软件代码开放共享、社区代码贡献者没有责任承担义务,也极易造成信息安全风险隐患,各类安全漏洞容易被黑客利用,造成系统被攻击、信息泄露等安全风险。中国银行加快核心人才储备,建立面向未来的“三支队伍”,即开源技术架构师队伍、开源软件开发专家队伍、开源安全专家队伍。要能够用对、用好开源软件,为银行IT架构服务;要深入研究核心代码,自主消化,在“断供停服”时能够保证银行系统有效运转;要承担“最终安全员”责任,“知风险、有办法”,运用行内安全工具、手段确保安全,让开源技术不等于没有“保险”。
2.积极融入生态,画好“三个同心圆”
开源技术不是某个厂商的私有领地,也不是一个企业能够独立掌控的,需要在开放、共享、合作的基础上,走进社区圈,建立同业圈,搞好合作圈。
走进社区圈,一是指派专人关注行内重点使用的开源软件动态,及时了解社区最新信息;二是鼓励员工参与社区建设,奖励代码贡献者,提升中行话语权;三是积极参与社区交流互动,深度融入社区。
建立同业圈,一是与主要金融同业深入交流,了解同业先进的开源技术治理方式;二是建立信息共享机制,用好“朋友圈”;三是取长补短,建立优势互补,通过规模效应繁荣生态体系,抱团取暖。
搞好合作圈,一是坚持开放创新,依托金融业务丰富的应用场景,通过合作研发方式,带动开源技术发展;二是做好供应链管理,把握采购产品和第三方代码的安全管控,通过商务合同明确开源代码的维护职责,将供应商提供开源代码的信息安全风险评估,许可证合规评估结果纳入采购评价因素和约束;三是与国内优秀高校、科研院所、中介机构加强合作,促进产、学、研共同发展,加快成果转化。
展 望
栉风沐雨见肝胆,砥砺奋进续华章。展望未来,中国银行将以更加开放的态度紧跟金融科技发展趋势,依法合规、合理应用开源技术,提升自主创新能力;更加严谨的精神坚守质量关,保证开源技术可控、可靠,提升软件交付质量;更加有力的举措构筑安全管理体系,防范、化解开源技术风险,提升应用系统安全能力。身处金融科技的时代浪潮,中国银行将继续应用开源技术夯实企业级架构“新基建”,培育科技引领的新动能,构筑以数字化转型服务金融高质量发展的新格局。
(栏目编辑:韩维蜜)
九七分享吧所有文章来源于网络收集整理,如有侵权请联系QQ2387153712删除,如果这篇文章对你有帮助或者还不错的请给小编点个小赞(◠‿◠),小编每天整理文章不容易(ಥ_ಥ)!!!
还没有评论,来说两句吧...